基于信任管理的移动终端安全权限设置推荐系统
第13卷第2期2018年1月
中国科技论文
CHINA SCIENCEPAPER
Vol.13N q.2
Jaix2018
基于信任管理的移动终端安全权限设置推荐系统
程艳晓,闫峥,王普
(西安电子科技大学综合业务网理论及关键技术国家重点实验室,西安710071)
摘要:为解决移动设备应用权限授予的安全问题,设计了基于信任管理的安全权限推荐系统(P enrntR ec),以帮助用户对移动
应用进行合理的权限设置,控制用户对敏感数据的安全访问。P e rm C R e c系统基于应用的信誉值、已安装相似应用的权限设置、应用之间的相似度、用户对相似应用的信任值及待授权权限的安全等级等参数计算权限设置的风险值,能够根据全局风险值动
态地推荐移动应用的权限设置,以帮助用户合理设置权限。测试结果表明,P e rn C R e c系统能够推荐有效的权限设置,防止敏感 移动设备资源的恶意访问。
关键词:信息安全;移动应用;安卓系统;权限设置;信任管理;推荐系统
中图分类号:TP311. 1 文献标志码:A文章编号= 2095 - 2783(2018)02 - 0190- 06
A permission configuration recommendation system for mobile Apps
C H E N G Y a n xia o, Y A N Z h e n g, W A N G P u
(.State K e y L aboratory o f In teg ra ted S ervices Networks #X idian U niversity #X i7an710071, China)
A b s tra c t:A recom m ender perm itR ec is designet system fo r perm ission co n fig ura tio n based help users on perm ission setting in order to p ro te ct user privacy and device security. P erm itR ec system recom m endations on perm ission se cu rity co n fig ura tio n fo r a m obile a pplication based on setting risk. T h e se ttin g ris k is evaluated
b y considering the a pplication rep u ta tio n, the se cu rity configurations o f sim ila r applications installed and used b y the user , a p p li-cation s im ila rity , and the user tru s t in sim ila r applications , as w e ll as the ris k level o f testing result of PermitRe
c system shows that it can provide effective permission recommendations to prevent malicious m obile resources.
K eyw ords:in fo rm a tio n s e c u rity;m obile a p p lica tio n; A n d ro id p la tfo rm; perm ission c o n fig u ra tio n;tru s t m anagem ent;
der system
随着移动设备的普及,其所存储的数据也越来 越多,应用程序访问处理移动设备的数据,并向用户 提供所需的服务。所以应用程序对数据的非法访问 使得数据泄露成为移动设备的一个重要安全问题。R a s h id i等[1]的研究表明,70;的应用程序会请求收 集与主要功能无关的用户信息,例如联系人和地理 位置信息,不必要的数据访问将会增加泄露用户隐 私信息的风险。目前,安卓(A n d ro id)系统采用权限 机制来控制设备敏感信息的访问,每个应用在开发 时必须提前申请权限授予。但该机制存在一些缺陷,如权限授予的粗粒度性、开发文档中对权限介绍 的模糊性等,使其不能有效地保证用户的隐私。F e tt 等[2]的调查结果表明,大部分用户并不会关注应用 权限的设置,而系统提供的默认权限设置可能会过 度授予访问权限,泄露用户隐私。另外,由于用户缺 乏专业知识,以及对应用可信度以及权限设置必要 性、危险性的认识,他们自主进行安全可靠的权限设 置仍然十分困难。因此,如何对应用程序设置合理恰当的权限来保护用户隐私,还面临巨大的挑战。在已有的研究中,B a g h e ri等&]设计了 1个在应用程 序接口(a p p lic a tio n p ro g ra m m in g in te rfa ce-A P I)与 权限之间能够进行映射的插件,帮助开发者评估权 限设置的准确性。B a o等&]提出了 1种基于协同过 滤技术的权限推荐系统,能够根据具有相似功能的 应用程序可能会申请相同权限的原则,帮助开发者 选择授予合适的权限。K a r im等&]发明了 A p M in e r 鉴别器,它基于关联探索规则鉴别安卓A P I-权限安 全映射。根据应用商场中其他应用程序的A P I-权限 使用情况及开发者应用程序的源文件中使用到的 A P I应用程序接口,N u a m a n等[6]设计了 1个应用程 序权限分解系统,允许应用程序在只被授予部分权 限的情况下也能正常使用。J e o n等&7]提出了 1个允 许用户动态设置应用权限的机制,用户可以自主授 予应用程序合理的权限。K a u r等[8]也同样设计了 1个权限控制框架,允许用户根据个人需要设置应用 需要申请的权限。R a s h id i等[9]的研究开发了名为
收稿日期=2017-04-24
基金项目:国家重点研发计划专项(2016YFB0800704);国家自然科学基金资助项目(61672410);高等学校博士学科点专项科研基金资助项目 (20130203110006);陕西省自然科学基础研究计划-重大基础研究项目(2016ZDJC-06)
第一作者:程艳晓(1991一)女,硕士研究生,主要研究方向为移动设备安全
通信作者=闫峥,教授,主要研究方向为信任管理和可信计算、信息与网络安全、隐私保护、社交网络、人机交互、数据挖掘、普适计算和云计算等,zyan@x https://www.360docs.net/doc/6317228409.html,
系统初始设置(系统管理员使用)
OA系统使用过程中,系统管理员使用管理员账号与密码登陆系统,然后根据需要查看如下对应的帮助项。 用管理员账户与密码登陆系统后,可进行系统设定,如果使用普通员工账户是无法进行系统设定的。管理员账户与密码请从软件提供商处获得。 系统管理菜单在左侧菜单部分的最后一个模块菜单,点开后展出所有管理菜单。 单位信息管理 逐项进行实际情况填写,填写完成后点击界面右上方的“提交”按钮进行保存。 部门信息管理
右上角的工具条介绍如下: 输入关键字,可以直接模糊查询数据。 添加按钮,是指添加一条新数据,在此代表添加一个新的部门。 修改按钮,是指修改一条制定的记录,如修改一个错误的部门名称,点此按钮前,必须选定一个需要修改的数据项。 删除按钮,是指删除选定的部门信息。 导出按钮,是指将当前的信息导出到Excel文件中。 返回按钮,是指返回到刚才显示的页面,前一个显示的页面。 添加时逐项填写,填写完毕后,点击右上角的“提交”进行数据保存。 角色信息管理 在添加用户之前,需要预先定义好角色信息,如:普通员工、部门领导、单位领导、系统管理员、超级管理员等等角色。 所有用户的权限都是根据用户所属的角色确定的。这个角色拥有哪些权限,那么用户就拥有什么样的权限。
添加角色时,勾选对应模块的查看、添加、修改、删除、导出等权限。勾选上代表,这个角色拥有此项权限。 用户信息管理 系统内所有用户都在此模块下添加、修改、删除、停用等。
添加时,请务必选择用户所属部门、所属角色。 用户名:系统内使用的用户名,如:张三、李四,请直接使用中文 用户密码:用户登录系统时所用密码。 登录账号:用户登录系统时所使用的账户名称,如admin,test,以英文或者数字等易于填写的为主,也可使用中文名称。 所属部门:直接点击后方的放大镜图标进行选择部门。 所属角色:直接点击后方的放大镜图标进行选择角色,这个角色作为登录系统时的权限设定。是否允许登录:是指是否允许这个用户登录系统,默认为允许状态。 系统参数设置 设置允许上传的文件格式,采用, 分隔,请务必使用半角符号。
XXXX公司信息系统用户帐号及权限管理制度
XXXX集团信息系统用户帐号及权限管理制度 管理要求 1.使用信息系统的各业务部门各岗位人员,除公司有特殊规定外,皆按本制度执行。 2.职责:网络管理部门负责用户的创建和权限分配,各业务部门根据各自岗位需求向信息系统管理部门提出用户创建需求和权限分配需求。 3.信息系统用户的管理:包括系统用户帐号的命名建立,用户帐号及相应权限的增加、修改,用户帐号及相应权限的终止,用户密码的修改,用户帐号及相应权限的锁定和解锁;用户帐号及相应权限的安全管理等。 4.信息系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户帐号及相应权限,必须根据《XXXX集团信息系统申请表》和相关领导签字审批才能进行相应操作,并将相关文档留档备存。 5.用户帐号及相应权限的持有人,必须保证用户帐号及相应权限和用户密码的保密和安全,不得对外泄漏,防止非此用户帐号的所有者登陆系统。 6.公司用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登陆系统,保证系统的安全。 7.帐号持有人要对其在系统内的行为负责,各部门领导要对本单位或本部门用户的行为负责。 8.用户帐号的命名由系统管理员执行,用户帐号命名应遵循易用性、最小重叠机率为用户帐号的命名规则,不得随意命名。 9.对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 页脚内容1
增加、修改用户帐号及相应权限的管理 10.信息系统中增加、修改用户帐号及相应流程规范: 10.1 新增员工:新员需要使用公司内部通讯系统,首先填写《XXXX集团信息系统申请表》ERP系统用户申请填写《XXXX集团公司ERP权限申请表》,由主管部门负责人核定审批、人事部复核审批,交由网络部留档备存、执行相应操作。 10.2 系统组织结构调整:部门新建、合并、分离、撤消,组织结构需求变更的。需由部门主管领导提出书面说明文件,报人事部审核,各分公司总经理复核,交由网络部留档备存、执行相应操作。 11.用户帐号及相应权限的增加、修改,须由申请人填写《XXXX集团信息系统申请表》、《XXXX集团公司ERP权限申请表》,所在部门负责人审批,网络安全部门负责人审批后交由系统管理员留档备存、执行相应操作。 用户帐号及相应权限终止的管理 12.用户帐号及相应权限的终止应符合:①用户帐号持有人工作调动,②用户帐号持有人辞职。 13.用户帐户持有人因工作调动需要终止帐户的,自相应调动通知公布后。由所属公司人事部门以书面方式通知网络管理部门,网络管理部门负责人审批后交由系统管理员留档备存、执行删除或冻结操作。 14.对于辞职人员用户帐号及相应权限终止,离职人员办理离职申请表,其它部门手续办理完结签字后,转由网络部及时清理该员工各系统帐号。 用户帐号的安全管理 15.用户帐号持有人忘记密码必须填写《XXXX集团信息系统申请表》,所在部门负责人审批,网络管理部门负责人审批后经系统管理员执行相应的操作。 页脚内容2
移动终端安全管理与接入控制
移动终端安全管理与接入控制 1 范围 本标准规定了移动终端安全管理与接入控制产品的安全功能要求、安全保障要求及等级划分要求。 本标准适用于移动终端安全管理与接入控制产品的设计、开发及测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336.3-2015 信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 GB/T 25069-2010 信息安全技术术语 3 术语和定义 GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 移动终端 mobile terminal 可以在移动中使用的计算机设备,包括手机、笔记本、平板电脑等;终端应用场景如POS机、执法记录仪、医疗终端、公司办公终端等。 3.2 越狱jailbreak 获取IOS操作系统移动终端的系统管理员权限,经过越狱的苹果终端拥有对系统底层的读写权限。 3.3 移动终端ROOT mobile terminal ROOT 获取Android操作系统移动终端的系统管理员权限,经过ROOT的移动终端拥有对系统底层的读写权限。 3.4 移动终端安全管理与接入控制产品mobile terminal security management and access control product 为增强移动终端的安全性、可控性和时效性,通过定制安全策略对移动终端进行统一管理和安全接入控制的产品。 4 移动终端安全管理与接入控制产品描述 移动终端安全管理与接入控制产品(mobile terminal security management and access control product)通过对终端实施安全防护,防止不安全或无权限的终端接入被保护的网络,访问被保护的应用;避免引起的内网安全威胁,保护在移动终端上缓存的敏感业务数据不被泄露。实现了对移动终端的统一设备管理、统一接入认证管理、统一的安全策略管理。 图1是移动终端安全管理与接入控制产品的一个典型运行环境。
管理信息系统权限管理制度(定稿)
XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司(以下简称XXXX、公司)、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。
系统账户权限的管理规范.doc
系统账户权限管理规范 1.目的 为规范产业公司系统账户、权限管理,确保各使用单位与权限操作间的有效衔接,防止账户与权限管理失控给公司带来利益损失、经营风险。信息系统帐号的合理配置、有效使用、及时变更、安全保密,特制订本规范。 2.适用范围 本规范适用于多公司本部各单位、营销机构。 3.定义 3.1公司:指多媒体产业公司 3.2单位:指公司下属各单位,包含HR中体现为不同人事范围的直属部门、驻外机构。 3.3人事管理:指负责本单位人事信息人员,包括行政机构、驻外分公司人事经理、事业部、生产厂等部门级人事管理岗。 3.4权限管理员:负责本单位信息系统用户集中申请、变更,管理本单位信息系统用户对口的管理人员。包含单位自行开发和管理的信息系统(自行开发系统由所在部门指定系统管理员负责),如营销中心的“DDS”,研究“PDM”也是流程申请的维一发起人。 3.5系统管理员:指系统开发、系统配置管理的IT人员,部分虹信IT顾问为主。也可根据组织架构授权给某业务单位的相关人员,其负责某系统用户和权限的配置管理者。 3.6系统流:指每个系统固定的申请、审批流,原则上由系统管理员或权限管理员配置。 4.部门职责 4.1产业公司负责人: 4.1.1.公司信息系统立项、验收等审批工作。 4.1.2.公司信息系统,信息安全的第一责任人。 4.1.3.公司信息系统组织第一责任人
4.2人事部门: 4.2.1负责在人力资源管理系统(以下简称HR系统)处理人事档案,各单位权限管理员提交的信息系统需求协助。 4.2.2提供各单位的入职、调动、离职信息给信息系统管理部门。 4.2.3协助信息系统部门与人事相关的其它需求。 4.3控制中心: 4.3.1负责发布和制定信息建设规范,并组织通过技术手段或辅助工具管理。4.3.2负责组织周期性清理各信息系统账户。 4.3.3负责信息系统档案的建立。 4.3.4负责信息系统维护、权限配置、权限审核等相关事宜。 4.3.5 4.4用户申请部门和使用单位: 4.4.1各单位第一负责人管理本单位员工,各信息系统账户、权限申请、审核并对信息系统安全负责。定期组织相关人员对部门的信息系统帐号、权限进行清理和检查,申请职责可指定单位专人负责。 4.4.2权限管理员作为各单位信息系统申请的唯一发起人。 4.4.3权限管理员协助单位人事向公司人事部提交本单位入职、调动、离职信息。 4.4.4权限管理员负责本单位员工,各信息系统账户的新增、变更、冻结以及对应系统权限的申请工作。 4.4.5权限管理员负责定期核查本单位员工,对应系统账户的权限,若有偏差及时发起变更申请流程。 4.4.6帐号使用者不得将自己权限交由它人使用,部分岗位因工作需要交由同部门使用时,必须保证其安全和保密工作。 4.5系统操作部门: 4.5.1系统管理员负责对权限管理员提交的申请进行权限操作、审核。 4.5.2系统管理员定期在系统或SSU上获取信息系统的账号、权限分布表,并进行检查,对发现问题和风险的帐号及时告知相关部门并发起相应流程。 4.5.3系统管理员负责对系统故障进行处理或提交集团。 4.5.4系统管理员负责对系统操作手册的解释和编制工作。
信息系统用户帐号和角色权限管理流程
信息系统用户帐号与角色权限管理流程 一、目的 碧桂园的信息系统已经在集团下下各公司推广应用,为了确保公司各应用信息系统安全、有序、稳定运行,我们需要对应用信息系统用户帐号和用户权限申请与审批进行规范化管理,特制定本管理规定。 二、适用范围 适用于公司应用信息系统和信息服务,包括ERP系统、协同办公系统、各类业务应用系统、电子邮箱及互联网服务、数据管理平台等。 三、术语和定义 用户:被授权使用或负责维护应用信息系统的人员。 用户帐号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 角色:应用信息系统中用于描述用户权限特征的权限类别名称。 四、用户管理 (一)用户分类 1.系统管理员:系统管理员主要负责应用信息系统中的系统参数配置,用户帐号开通与维护管理、设定角 色与权限关系,维护公司组织机构代码和物品编码等基础资料。 2.普通用户:指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内 登陆和使用应用信息系统的权限。 (二)用户角色与权限关系 1.应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户帐号授予某个角色 或多个角色的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点 集合的权力),一个用户帐号可通过被授予多个角色而获得多种操作权限。 2.由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角 色在不同应用信息系统中所匹配的具体权限范围可能存在差异,所以每个应用信息系统都需要在遵循《应 用信息系统角色与权限设置规范》基础上,分别制定适用于本系统的《碧桂园应用信息系统角色与权限
移动设备使用安全管理办法
移动设备使用安全管理办法 一、总则 (一) 为了加强我司计算机信息网络系统的安全管理,保证我司移动设备办公安全,结合我司笔记本电脑使用实际情况、制定本办法。 (二) 凡配备或使用公用笔记本电脑及移动存储设备的人员,务必遵守此管理办法。 二、移动设备安全使用规定 (一) 移动设备范畴:笔记本、移动硬盘、U盘等存储设备。 (二) 笔记本电脑必须设置开机密码,公用笔记本开机密码统一设置为123借用人不得随意修改。 (三) 笔记本电脑必须设置硬盘加密,防止丢失带来损失,目前只支持WIN7旗舰版,总部公用笔记本电脑硬盘密码统一设置为1232014。 (四) 公用笔记本电脑资料请不要放在桌面及C盘,可放置D、E 等盘,公用笔记本重启后将进行还原,桌面资料及安装软件将进行清除,以保证电脑为最新状态。如果有特殊原因需要长期使用,可向系统管理员申请取消还原功能,使用完成后自行卸载安装软件并删除文件。 (五) 笔记本电脑上网用户必须安装杀毒软件并且注意更新病毒,定期清查计算机病毒,防止笔记本电脑中的病毒到处传播。 (六) 凡是存放有我司资料的移动存储设备均需要进行加密,防止
丢失带来不可预计的损失。 三、移动设备的使用及注意事项 (一) 笔记本需注意使用环境,特别要注意远离饮料和食品。 (二) 在开关机时不要急于移动笔记本,应注意防震,否则硬盘容易损坏。 (三) 笔记本电脑,不要放在软垫上使用(如毛巾、布料、棉被等),否则易堵塞散热口,散热不好,造成机器故障。 (四) 光驱容易损坏,请注意保养,减少不必要的损耗,不宜使用质量差的光盘和软盘。 (五) 液晶板不宜用手触摸,不能与硬物接触。清洁时要特别注意用眼镜布轻轻擦拭。 (六) 插拔外接部件时,要特别小心,一旦插口出现问题,可能要换主板,损失较大。 (七) 笔记本电脑随机软件只有操作系统(WINDOWS),并安装常用办公软件,请不要随意安装其它软件。 (八) 笔记本电脑和附件重量轻、体积小,在出租车、办公室等公共场所容易丢失和被盗。 (九) 移动硬盘及U盘应轻拿轻放,容易摔坏。 (十) 注意移动硬盘和U盘存放位置,请勿放置桌面及显眼的位置防止丢失。 (十一) 凡是人为造成笔记本及移动硬盘等设备损坏,将自行承担
医院应用信息系统用户帐与角色权限管理办法
XX医院 应用信息系统用户帐号与角色权限管理办法 (讨论版) 新津县妇幼保健院信息科 二○一五年四月
目录 2 适用范围............................................................ 3 术语和定义.......................................................... 4 用户管理............................................................ 用户分级............................................................ 用户分类............................................................ 用户角色与权限关系.................................................. 用户帐号实名制注册管理.............................................. 5 用户帐号申请与审批.................................................. 帐号申请............................................................ 帐号审批和开通...................................................... 6 安全管理............................................................ 帐号安全........................................................... 密码安全........................................................... 信息安全........................................................... 7 档案管理............................................................ 附表1应用信息系统角色与权限关系对照表(表样)......................... 附表2用户帐号申请单................................................... 附表3用户帐号批量申请单............................................... 附表4用户帐号管理工作登记表........................................... 1目的 为加强新津县妇幼保健院信息科计算机中心(以下简称:中心)应用信息 系统用户帐号和用户权限申请与审批的规范化管理,确保中心各应用信息系统 安全、有序、稳定运行,特制定本管理办法。
信息系统权限分级管理制度
信息系统权限分级管理制度 为了进一步规范我院的信息系统使用,保障网络信息系统安全,特制定本制度。 一、分级操作原则与级别划分 根据对信息系统安全性的威胁程度,以及各部门对电脑系统的应用需要,进行分级。对我院信息系统操作人员划分为以下级别: 1级:全局管理员,对医院信息化网络享有全面权限的人员。 本级权限由院信息化领导小组授权信息科科长,可对我院信息系统因业务需要开展的新建、部署、维护等各方面工作。 2级:专业管理员,具体包括: 2.1包括软件系统管理员:享有对操作系统及应用系统进行安装调试、修复、应用软件测试、部署、版本控制、文档等职能。 本权限由信息科赋予指定专人负责,在1级权限所有人指导与批准下开展工作。 2.2数据库管理员:享有对数据库系统的操作、备份、调整、测试等权限。 本权限由信息科科长指定专人负责,在1级权限所有人指导与批准下开展工作。 2.3操作员授权管理员:享有对操作系统、数据库系统、应用软件按规定流程设定操作权限的权利 本权限由信息科赋予指定专人负责,在1级权限所有人指导与批准下开展工作。 2.4网络授权管理员:享有对网络设备及网络管理软件的操作、备份、调整、测试等权限。 本权限由信息科赋予指定专人负责,在1级权限所有人指导与批准下开展工作。 3级:字典维护员,对信息系统中包括床位、费用、药剂、材料等基础数据字典按规定进行维护的权限,具体包括: 3.1诊疗维护员:享有对各项医技、治疗、材料等诊疗收费字典按规定进行新增、调价、变更、废止等权限。
本权限由信息科指定专人负责,经正常手续由2.3级权限所有人进行软件授权后开展工作。 3.2药品维护员:享有对西药、成药、草药等常规字典按规定进行新增、调价、变更、废止等权限 本权限由药剂科指定专人负责,经正常手续由2.3级权限所有人进行软件授权后开展工作。 3.3其他字典维护员:享有对除诊疗与药品之外的其他字典如床位、患者类别、付费方式等按规定进行新增、变更、废止等权限。 本权限由信息科指定专人负责,经正常手续由2.3级权限所有人进行软件授权后开展工作。 4级:部门管理员,部门主管或指定人员享有因本部门业务需要的部门及管理权限,具体包括: 1)门诊收费管理员:发票管理、重打印由于软件或硬件原因造成的错误单据、部门工作统计与审核等,本权限赋予门诊收费处指定人员。 2)药房、药库管理员:药品库存管理、部门工作审核等,本权限赋予药房及药库指定人员。 3)结账室收费管理员:住院发票及预交金数据管理、重打印由于软件或硬件原因造成的错误单据、部门工作统计与审核等,本权限赋予结账室指定人员。 4)其他部门管理人员:享有对本部门工作的信息系统数据审核、查询等权限的人员,由各部门领导或其指定人员享有。 5级:业务操作员,直接在电脑终端应用系统上进行包括门诊、医技、药剂、住院、护理等相关工作的普通工作人员。 本级人员包括除上述1-4级权限之外的所有电脑应用操作人员。 二、人员授权原则 在为操作人员分配权限时应遵循以下原则: 1)1、2级权限享有人不得同时享有3、4级权限;
移动应用安全管理系统设计方案
移动应用安全管理系统设计方案 2014年
目录 2 系统设计原则 (4) 2.1 安全性原则 (4) 2.2 标准性原则 (5) 2.3 规划先进性原则 (5) 2.4 安全服务细致化原则 (6) 3 建设思路 (6) 4 整体分析 (7) 4.1 业务需求 (7) 4.1.1 移动采集 (7) 4.1.2 移动办公 (7) 4.2 业务类型 (8) 4.2.1 数据交换和数据采集 (8) 4.2.2 授权访问 (8) 4.3 功能域划分 (9) 4.3.1 业务域 (9) 4.3.2 接入域 (10) 4.3.3 监管域 (10) 4.3.4 用户域 (11) 4.4 安全需求分析 (11) 4.4.1 安全技术需求分析 (12) 4.4.2 安全管理需求分析 (15) 5 平台设计 (16) 5.1 设计目标 (16) 5.2 设计思路 (16) 5.3 设计内容 (17) 5.4 安全技术体系设计 (18) 5.4.1 终端环境安全设计 (18) 5.4.2 接入域边界安全设计 (20) 5.4.3 通信网络安全设计 (24) 5.4.4 集中监测与管理设计 (27) 5.5 性能设计 (30) 5.5.1 链路带宽 (30) 5.5.2 业务并发数 (31) 5.5.3 吞吐量 (31) 5.7.2 安全管理机构 (33) 5.7.3 人员安全管理 (34) 6 方案特点 (34) 7 移动安全管理平台关键技术 (35) 8 建设效果 (36)
1 概述 安徽省电子认证管理中心(简称“安徽 CA”)移动应用安全管理系统是从用户的应用安全和安全管理需求出发,基于PKI技术构建可信身份体系、鉴权体系及行为追溯体系,实现信息系统可信、可控、可管理,满足用户自身信息化建设发展要求和相关法规政策要求的网络信任体系支撑平台。 由于历史的原因,也是计算机技术日新月异发展的结果,信息化要求较高的行业现有的多套应用系统从当时的设计和建设看来可以说是非常科学和满足业务需求的,但以现在的标准来看,由于不同的应用系统建立在不同的硬件和操作平台上,不同的应用系统是由不同的系统集成商使用不同的语言和开发工具开发出来的,将不可避免的导致不同业务系统之间的用户无法统一管理,资源无法统一授权,审计系统也分别独立,且基于数字证书的强身份认证也可能没有实现。由于用户角色以及资源的改变使得业务运作不够顺畅,导致业务流程被割裂,需要过多的人工介入,效率下降,数据精确度降低,使的信息系统失去了其应有的作用。 从信息化建设的长远发展来看,要形成相互一致的业务基础信息系统和有效运行的信息层次化可信安全体系,必然需要将原来已分别建设的各个业务应用系统平滑地整合在一起,在一个可信的安全基础平台上实现统一用户管理、统一安全审计以及基于数字证书的集中身份认证,统一Web管理界面方式让各个业务系统间形成一个有机的整体,在整个可信网络体系范围内实现系统信息的高度共享,针对快速
系统用户及权限管理制度
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
电脑系统如何设置管理员权限
电脑系统如何设置管理员权限 在Windows XP下实现系统多用户设置 一、认识用户帐户 1、计算机管理员帐户 计算机管理员帐户是专门为可以对计算机进行全系统更改、安装程序和访问计算机上所有文件的人而设置的。只有拥有计算机管理员帐户的人才拥有对计算机上其他用户的完全访问权。该帐户具有的特点: ①可以创建和删除计算机上的用户。 ②可以为计算机上其他用户帐户创建帐户密码。 可以更改其他人的帐户名、图片、密码和帐户类型。 2、受限制帐户 当多人共用一台计算机时,你的计算机中的内容有可能被其他人意外更改,而使用受限制帐户,可以防止别人对你的计算机中的内容进行更改。受限制帐户具有: ①无法安装软件或硬件,但可以访问已经安装在计算机上的程序。 ②可以更改其帐户图片,还可以创建、更改或删除其密码。 ③无法更改其帐户名或者帐户类型。 3、来宾帐户 来宾帐户是共那些在计算机上没有用户帐户的人使用的。来宾帐户没有密码,所以可以快速登陆,以检查电子邮件或者浏览Internet。该帐户的特点: ①无法安装软件,但可以访问已经安装在计算机上的程序。 ②无法更改来宾帐户类型。 ③无法更改来宾帐户图片。 二、建立用户帐户 1、计算机管理员帐户的首次建立 在Windows XP安装期间,系统将自动创建名为Administrator的帐户。该帐户具有计算机管理员的权限,并使用在安装期间输入的管理员密码。 2、其他用户帐户的建立 ①进入Windows XP后,选择“开始-控制面板”,双击“用户帐户”,打开“用户帐户”对话框。 ②选择“创建一个新用户”,为新帐户取一个名称(如AAA)后,单击“下一步”,为新用户挑选帐户类型。 提示:帐户类型有计算机管理员和受限两种,可以根据需要确定新用户的帐户类型。 ③选择“计算机管理员”,并选择“创建帐户”选项,即完成了帐户的添加。如果还需要对新帐户进行修改,可选择“上一步”返回进行修改。 3、用户帐户的删除
信息系统权限及数据管理办法
******股份有限公司 信息系统权限及数据管理办法(试行) 第一章总则 第一条为了加强对******股份有限公司(简称:公司)各运行信息系统权限和数据的管理,明确权限及数据管理相关责任部门,提高信息系统的安全运行和生产能力,规范公司业务系统权限申请及数据管理流程,防范业务系统操作风险,公司制定了信息系统权限及数据管理办法,以供全公司规范执行。 第二条本办法所指信息系统权限及数据包括,但不仅限于公司运行的OA 办公系统、业务作业系统、对外网站系统等涉及的系统用户权限分配、日常管理、系统及业务参数管理,以及数据的提取和变更。 第三条本办法遵循责权统一原则对员工进行系统授权管理,控制公司相关信息传播范围或防范进行违规操作。 第四条信息技术部是本办法主要执行部门,设立系统运维岗负责系统用户权限管理、部分基本参数设置、系统数据的提取和变更的具体技术实现。其它相关部门应指定专人(简称:数据权限管理员)负责统一按本办法所制定的流程执行相关操作,或通过工作联系单方式提出需要信息技术部或其它相关部门完成的具体工作内容。 第五条用户授权和权限管理应采取保守原则,选择最小的权限满足用户需求。 第二章系统权限管理 第六条系统权限管理由信息技术部系统运维岗和各业务部门数据权限管理员共同协作完成,风险与合规部数据权限管理员负责对业务部门提出的系统权限进行审批,信息技术部系统运维岗负责对权限进行变更。信息技术部系统运维岗拥有系统管理和用户管理权限(信息技术部可以拥有开发测试环境超级用户权限),风险与合规部拥有超级用户权限,风险与合规部数据权限管理员拥有对权限列表进行查询的权限,以方便行使监督职能。
系统管理员操作手册
单位会计核算系统系统管理员操作手册
说明:系统管理员操作部分为系统管理菜单,包括组织机构、权限设置、基础数据、系统设置、日志管理、账套备份、电子附件几个菜单,其中组织机构、权限设置、基础数据、系统设置为日常经常用到的几个菜单,需理解并能正确操作,才能帮助用户解决进行日常业务之前的基础信息维护问题。其中: 组织机构:部门或单位基本信息,需要根据各地区实际情况进行维护。权限设置:用户、角色等权限设置,为用户授权对应的账套后,用户才能在所授权账套进行业务工作,并且只能在此账套进行业务工作。 基础数据:包括基础信息、会计科目等基础数据,基础信息为组织级基础信息,基础信息的变动将对此地区平台所对应的基础信息产生影响。系统设置:系统中、模参数设置版下发、系统注册、旧系统数据导入为日常经常用到的菜单,参数设置中修改参数将对用户业务操作产生影响,模版下发允许管理员对各账套报表模版等进行下发。 日志管理:用户日常业务中的操作查询。 账套备份:对账套进行备份与恢复。 注意:系统管理部分为系统管理员操作部分,其她人或者不理解的情况下不允许对系统管理菜单进行操作,系统管理部分信息的变动将直接影响用户基础业务操作。
第一部分系统管理平台操作 登录进入系统主界面,如图1-1所示: 图1-1 系统主界面 1组织机构 1、1组织机构维护 登录系统,选择【组织机构】|【组织机构维护】菜单,进入组织机构维护界面,如下图1-2所示: 图1-2组织机构维护 1、1、1增加组织机构 在组织机构维护主界面(图1-2),点击【增加】|【增加下级】按钮,进入增加组织机构界面,如图1-3所示:
公司信息化系统用户权限管理制度
公司信息化系统用户权限管理制度 第一章总则 第一条为了规范公司信息化系统的权限管理工作,明确系统用户权限的管理职责,结合公司实际情况,特制定本制度。 第二条相关名词解释 信息化系统:公司ERP系统,炼钢生产管控系统、报表系统、在线质量判定系统、物资计量网、调度日报系统、能力计划系统、物资计量系统、热轧自动仓储、冷轧自动仓储、一卡通、OA、内网、文档管理、IT运行管理等系统。 权限:在信息化系统中用户所能够执行的操作及访问的数据。 第三条本制度的适用范围为公司各单位,其中派驻站、ERP权限变更按照其归属部门流程提报。 第二章职责分工 第四条运营改善部作为信息化系统用户权限的归口 管理部门,主要负责各系统内用户权限的命名、审批、上报、配置、监控、删除、通知和培训等管理工作。负责《公司信息化系统用户权限管理制度》的修订、培训、实施、检查。 第五条各相关部室和作业部负责指定本单位权限管理员和权限审批者参与权限管理工作,权限管理员负责本单位信息系统权限的收集、申请、下发、测试、反馈;权限审
批者负责本单位申请的系统权限进行审批把关,并对权限申请后形成的业务结果负责。 第六条系统用户负责本人权限测试、保管工作;负责权限密码泄密后的上报和密码更换工作;负责依据本人权限进行相应系统操作。 第三章系统用户权限管理 第七条用户权限的申请 业务部门根据实际业务,需要新建(变更)信息化系统用户的权限,由本部门权限管理员在公司IT运行管理系统中填报权限新增(变更)申请。 第八条用户权限的审批 信息系统用户权限新增(变更)申请在公司IT运行管理系统中由申请单位权限审批者进行审批。 第九条用户权限的系统实现 经公司IT运行管理系统申请的系统权限,由运营改善部权限管理员于收到权限申请后一个工作日内完成权限审批、配置、变更工作,对于审批通过的ERP权限申请,由运营改善部按照《R/3系统用户申请表》、《用户权限变更申请表》要求完成上报工作。 第十条用户权限的系统测试 申请单位权限管理员在接到权限配置完成的信息后,应及时通知相关用户,在两个工作日之内完成系统权限测试,存在问题的由权限管理员反馈运营改善部。申请单位权限管
信息系统权限管理制度(通用版)
信息系统权限管理制度(通用 版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0714
信息系统权限管理制度(通用版) 为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。 一、总则 1.1用户帐号: 登录信息系统需要有用户帐号,相当于身份标识,用户帐号采用人员工号的编排,规则如下: (1)采用员工工号编排。 工号以人事部按顺序规定往后编排提供信息科。
1.2密码: 为保护信息安全而对用户帐号进行验证的唯一口令。 1.3权限: 指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。 二、职责与分工 2.1职能部门: (1)权限所有部门:负责某一个模块的权限管理和该模块的数据安全; a.财务处负责财务收费系统和部分资产系统权限; b.护理部负责病区护士管理系统权限; c.医务部负责医生工作站管理系统的权限; (2)负责指定一个部门权限负责人(建议为科室负责人),对涉及本部门负责权限的新增,变更,注销进行签字审批; (3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置;
信息系统权限管理制度实用版
YF-ED-J1909 可按资料类型定义编号 信息系统权限管理制度实 用版 In Order To Ensure The Effective And Safe Operation Of The Department Work Or Production, Relevant Personnel Shall Follow The Procedures In Handling Business Or Operating Equipment. (示范文稿) 二零XX年XX月XX日
信息系统权限管理制度实用版 提示:该管理制度文档适合使用于工作中为保证本部门的工作或生产能够有效、安全、稳定地运转而制定的,相关人员在办理业务或操作设备时必须遵循的程序或步骤。下载后可以对文件进行定制修改,请根据实际需要调整使用。 为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。 一、总则 1.1用户帐号: 登录信息系统需要有用户帐号,相当于身
份标识,用户帐号采用人员工号的编排,规则如下: (1)采用员工工号编排。 工号以人事部按顺序规定往后编排提供信息科。 1.2密码: 为保护信息安全而对用户帐号进行验证的唯一口令。 1.3权限: 指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。 二、职责与分工 2.1职能部门: (1)权限所有部门:负责某一个模块的权限
信息系统权限管理制度正式版
Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.信息系统权限管理制度正 式版
信息系统权限管理制度正式版 下载提示:此管理制度资料适用于通过共同创造,促进集体发展的明文规则,建立共同的价值观、培养团队精神、加强个人学习方面的行为准则,实现对自我,对组织的价值贡献。文档可以直接使用,也可根据实际需要修订后使用。 为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。 一、总则 1.1用户帐号: 登录信息系统需要有用户帐号,相当
于身份标识,用户帐号采用人员工号的编排,规则如下: (1)采用员工工号编排。 工号以人事部按顺序规定往后编排提供信息科。 1.2密码: 为保护信息安全而对用户帐号进行验证的唯一口令。 1.3权限: 指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。 二、职责与分工 2.1职能部门: (1)权限所有部门:负责某一个模块的
权限管理和该模块的数据安全; a.财务处负责财务收费系统和部分资产系统权限; b.护理部负责病区护士管理系统权限; c.医务部负责医生工作站管理系统的权限; (2)负责指定一个部门权限负责人(建议为科室负责人),对涉及本部门负责权限的新增,变更,注销进行签字审批; (3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置; 2.2单位权限负责人 (1)负责签批部门间的权限的授予;
用户权限管理系统
用户权限管理系统 用户权限管理系统 1 引言 当前,企业的信息化和管理的网络化成为趋势,越来越多的企业构建自己的信息管理平台,实现管理手段的信息化,优化企业组织结构,提高企业对市场的灵敏度和竞争力。但将管理信息放到网络上,如何管理分配和控制用户的权限成为影响管理信息安全性的重要问题。 ASP(Active Server Pages,动态服务网页)是Microsoft公司于1996年年底 推出的服务器端Web应用程序开发技术。ASP的脚本都在服务器端执行,提供了许多服务器端的对象和组件,返回给客户端的制式标准的Html页面,这样既降低了对客户端浏览器的要求,又是程序的安全性得到了保证,同时也使得我们可以对不同的用户提供不同的页面。另外,ASP还可以利用ADO(ActiveX Database Objecct)组件提供给更加简单有效的访问数据库,并且支持几乎所有的脚本语言。 综合ASP以上特点可以看出,使用ASP技术可以方便的开发出功能强大的服务器端用户权限管理系统,下面用一个实例来说明开发过程。 2 实例剖析 2.1 系统描述 该系统是用ASP为某公司企业的MIS系统开发用户权限管理系统,要求实现以下功能: (1) 用户要分级别,不同级别具有不同权限(访问不同资源)。 (2) 一台计算 机上可以有多个不同权限的用户。 (3) 一个用户在不同的计算机上具有相同的权限。 (4) 某些用户在自己计算机上无需输入用户名和密码,可自动登录。 (5) 用 户管理支持IP地址的通配符和连接符。
2.2 数据库的设计 首先,根据该企业的要求将用户按照访问的对象划分成不同的权限级别;自动登录用户的IP要单独存放,便于查询。因此,在Userid.mdb中建立了两张表(见表1和表2)分别存放用户主要信息和自动登录用户的IP地址。 表1 用户信息表(user) 字段名称数据类型字段说明 Id 文本用户名 Password 文本密码 Access_level 文本用户类型(用0,1字符串表示) Count 文本访问次数 Ip_address 文本 IP地址 Menu_name 文本菜单文件的路径和名称 Op_check 文本用户附加选项(自动登录、用户修改密码) Del_flag 文本删除标记(1表示删除) No 文本用户编号 表2 自动登录IP地址表(Autologin) 字段名称数据类型字段说明 Ip_address 文本自动登录的IP地址 在User表中,Access_level字段用以0或1组成的5b字符串表示不同的用户级别(管理员、高级用户、中级用户、普通用户和自定义用户),每一位表示一种级别,“0”无效,“1”有效;如,“10000”表示该用户具有管理员权限;各级别能够访问的对象显示在网页左边的树型菜单控件中,不同的用户显示不同的菜单,菜单的内容存放在相应的文件中,通过Menu_name字段来调用;Ip_address字段支持在IP地址第三、四段使用通配符“*”和连接符“-”,如,“792.168.2.*”, “192.168.151-153.10-100”;Op_check字段用2位0,1字符串表示用户附加选项,如“01”表示允许用户修改密码,“10”表示该用户为自动登录用户。